Jak szeroki wachlarz kompetencji powinien mieć Inspektor Ochrony Danych (IOD)

 

Umiejętności Inspektora Ochrony Danych – znacznie więcej niż prawo

W przestrzeni publicznej coraz częściej pojawiają się publikacje i opinie na temat RODO oraz roli Inspektora Ochrony Danych (IOD). Niestety, część z nich nie jest neutralna – reprezentują interesy określonych środowisk zawodowych lub biznesowych. Problem polega na tym, że wykrycie takiego przekazu bywa trudne i wymaga stosowania krytycznego myślenia. A to umiejętność, której wielu ludzi – nawet wysoko wykształconych – nie używa w naturalny sposób. Efekt? Przyjmowanie jednostronnych narracji bez refleksji i podejmowanie decyzji w oparciu o zakodowane „kotwice”.

Dobrym przykładem jest powszechny pogląd, że RODO to wyłącznie domena prawników. To przekonanie jest nie tylko uproszczeniem, ale wręcz szkodliwym stereotypem. W rzeczywistości prawo to jedynie fragment kompetencji IOD. Skuteczny inspektor musi dysponować szeroką, interdyscyplinarną wiedzą i umiejętnościami, obejmującymi obszary znacznie wykraczające poza legislację.

1. Ochrona fizyczna

RODO dotyczy nie tylko danych w formie cyfrowej. Dane osobowe przechowywane są również w formie papierowej – w archiwach, segregatorach, dokumentach roboczych. IOD powinien znać zasady bezpieczeństwa fizycznego, takie jak kontrola dostępu, monitoring, procedury wejścia do stref chronionych, zabezpieczenia przeciwpożarowe czy systemy kontroli pracy personelu. To właśnie od tej warstwy często zaczyna się bezpieczeństwo całego procesu przetwarzania.

2. Cyberbezpieczeństwo

Nowoczesne systemy informatyczne są podstawowym nośnikiem danych osobowych. Inspektor musi zrozumieć zasady działania sieci, szyfrowania, firewalli, systemów IDS (System Wykrywania Włamań ) /IPS (System Zapobiegania Włamaniom), a także znać praktyki zarządzania podatnościami i reagowania na incydenty. Choć IOD nie jest administratorem systemów, musi umieć z nimi rozmawiać i weryfikować, czy stosowane zabezpieczenia są adekwatne do ryzyk.

3. Wywiad elektroniczny i techniczny

IOD powinien być świadomy, że zagrożenia płyną nie tylko ze strony wewnętrznych błędów organizacyjnych czy zwykłego cyberprzestępstwa. W grę wchodzi także możliwość wykorzystania zaawansowanych narzędzi szpiegowskich, ataków socjotechnicznych czy analizowania metadanych. Umiejętność identyfikacji takich ryzyk i zrozumienie metod wywiadu elektronicznego daje przewagę w ocenie faktycznych zagrożeń.

4. Znajomość procesów biznesowych

Prawo i bezpieczeństwo to tylko część układanki. IOD musi znać procesy biznesowe „od podszewki”, aby rozumieć, jak i dlaczego dane są przetwarzane. To oznacza umiejętność mapowania procesów, identyfikowania punktów krytycznych i oceny, czy dany proces jest zgodny z zasadą minimalizacji. Dzięki temu IOD staje się partnerem dla zarządów i menedżerów, a nie tylko formalnym „kontrolerem”.

5. Umiejętność przewidywania zagrożeń i podatności

Najważniejsza kompetencja IOD to zdolność przewidywania. Chodzi o analizę ryzyk i podatności na każdym etapie cyklu życia danych – od ich pozyskania, przez przechowywanie, aż po usunięcie. Inspektor powinien potrafić prognozować konsekwencje wdrażania nowych technologii, rozpoznawać potencjalne „słabe punkty” w procedurach i wskazywać działania zapobiegawcze.

---

Podsumowanie

Rola Inspektora Ochrony Danych jest zdecydowanie bardziej złożona, niż wynikałoby to z popularnych opinii. Prawo jest tylko jednym z narzędzi w arsenale IOD. Skuteczny inspektor to interdyscyplinarny ekspert, który łączy wiedzę prawną, techniczną, organizacyjną i biznesową.

Dlatego redukowanie zawodu IOD do „prawnika od RODO” to nieporozumienie. To właśnie szerokie kompetencje – od cyberbezpieczeństwa po znajomość procesów biznesowych – czynią z niego kluczowego strażnika prywatności i bezpieczeństwa danych w organizacji.

Fałszywe rekrutacje mogą służyć do

 

Czy fałszywe rekrutacje mogą służyć do zbierania danych z Twojego komputera?

To już nie jest teoria.

Coraz częściej pojawiają się „rekrutacje”, które:
👉 wyglądają wiarygodnie
👉 prowadzą przez profesjonalne platformy lub aplikacje
👉 kończą się… instalacją oprogramowania

I tu zaczyna się prawdziwy problem.

---

🔎 W takim scenariuszu aplikacja może:

• zbierać dane z Twojego urządzenia (pliki, historia aktywności)
• przechwytywać loginy i hasła
• monitorować, co robisz na komputerze
• działać w tle — nawet po zakończeniu „testu”

A w bardziej zaawansowanych przypadkach:
⚠️ usuwać po sobie ślady przy deinstalacji
⚠️ ukrywać zakres zbieranych danych
⚠️ pozostawiać komponenty działające dalej

---

💣 Co to oznacza dla ofiary?

1. Utrata kontroli nad danymi
Nie wiesz, co dokładnie zostało skopiowane — i gdzie trafiło.

2. Ryzyko kradzieży tożsamości
CV + dane systemowe + loginy = gotowy zestaw do podszywania się.

3. Dostęp do kont firmowych
Szczególnie groźne, jeśli korzystasz z komputera służbowego.

4. Długofalowe skutki
Dane mogą być sprzedawane, wykorzystywane w atakach phishingowych lub… trenowaniu modeli (bez Twojej wiedzy).

---

⚖️ A co na to RODO?

W takich przypadkach najczęściej:
❌ nie ma żadnej podstawy prawnej
❌ nie ma obowiązku informacyjnego
❌ mamy do czynienia z naruszeniem, a często po prostu z cyberprzestępstwem

To nie „szara strefa”.

To czyste nadużycie lub oszustwo.

---

🚩 Sygnały ostrzegawcze:

• konieczność instalacji „specjalnej aplikacji”
• brak jasnych informacji o firmie
• presja czasu („zrób test dziś”)
• dziwne uprawnienia (np. dostęp do całego systemu)

---

📌 Wniosek:

Największym zagrożeniem nie jest dziś AI w rekrutacji.

Tylko fałszywe procesy, które udają legalne działania.

Bo kiedy oddajesz dane „rekruterowi” —
często nie masz już nad nimi żadnej kontroli.

---

Masz takie doświadczenia?
Albo widziałeś podejrzaną rekrutację?
Warto o tym mówić — bo skala problemu rośnie.

Proces rekrutacyjny pod kątem zgodności z RODO

 

Żeby „przejrzeć proces rekrutacyjny pod kątem zgodności z RODO”, zwykle analizuje się kilka kluczowych obszarów. Oto jak wygląda taki mini-audyt i jakie informacje od Ciebie byłyby potrzebne:

---

✅ 1. Etap pozyskiwania danych

Sprawdzamy:

• Czy kandydaci dostają poprawną i pełną klauzulę informacyjną?
• Czy wiesz, na jakiej podstawie prawnej przetwarzasz CV (najczęściej art. 6 ust. 1 lit. b lub c)?
• Czy nie zbierasz więcej danych, niż to konieczne (np. zdjęcia, PESEL, stan cywilny – zwykle zbędne)?

Do oceny potrzebuję: aktualnej klauzuli i informacji, gdzie jest publikowana.

---

✅ 2. Narzędzia i systemy rekrutacyjne (ATS, AI, testy)

Weryfikujemy:

• Czy używasz narzędzi, które automatycznie analizują kandydatów (np. AI, scoring, testy z algorytmami).
• Czy kandydaci są o tym wyraźnie poinformowani.
• Czy masz podpisane umowy powierzenia z dostawcami.

Do oceny potrzebuję: listy narzędzi wykorzystywanych w rekrutacji.

---

✅ 3. Przechowywanie danych

Sprawdzamy:

• Jak długo przechowujesz CV?
• Czy masz oddzielną zgodę na przyszłe rekrutacje?
• Czy Twoje terminy są zgodne z zasadą minimalizacji?

Do oceny potrzebuję: opis praktyk retencji danych.

---

✅ 4. Udostępnianie danych

Analizujemy:

• Czy dane trafiają do managerów, klientów, innych oddziałów?
• Czy odbywa się to zgodnie z RODO i zasadą ograniczenia dostępu?

---

✅ 5. Prawa kandydata

Weryfikujemy:

• Czy kandydat może łatwo wykonać prawa RODO (usunięcie, sprostowanie, sprzeciw)?
• Czy macie opracowane procedury obsługi takich wniosków?

---

Umowa powierzenia danych osobowych diabeł tkwi w szczegółach

Znaczenie umowy powierzenia przetwarzania danych osobowych

Umowa powierzenia jest niezbędnym instrumentem prawnym, gdy Twoja firma (Administrator) zleca wykonanie usług podmiotowi zewnętrznemu (Procesorowi), co wiąże się z dostępem do danych osobowych (np. firma ochroniarska, biuro rachunkowe, firma IT, zewnętrzna kadrowa).
Kluczowe funkcje umowy:Legalność (Art. 28 RODO): Jest to obowiązek prawny. Brak pisemnej (lub elektronicznej) umowy przy przekazaniu danych podwykonawcy jest naruszeniem RODO, za które grożą kary finansowe.
Określenie granic: Precyzuje, co Procesor może robić z danymi (cel, zakres, czas), a czego mu nie wolno (np. nie może wykorzystywać danych Twoich pracowników do własnych celów marketingowych).
Gwarancja bezpieczeństwa: Procesor zobowiązuje się do wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych, aby chronić dane przed wyciekiem.
Odpowiedzialność (Zasada rozliczalności): Umowa daje Ci prawo do kontroli i audytu u podwykonawcy. Pozwala wykazać przed urzędem (np. UODO), że dbasz o bezpieczeństwo danych na każdym etapie ich przetwarzania.

Kluczowy zapis umowy na przykładzie ochrony na biurze przepustek:

1.     Administrator jest uprawniony do powierzenia przetwarzania danych Podmiotowi przetwarzającemu oraz powierza mu dane zgromadzone zgodnie z obowiązującymi przepisami prawa.

2. Przedmiot przetwarzania: prowadzenie książki wejść i wyjść oraz wypisywanie przepustek jednorazowych. Obserwacja terenu poprzez urządzenia monitoringu.

3.   Charakter przetwarzania: książka jest prowadzona w formie papierowej do zapełnienia (ok 1 miesiąca) i przekazywana do p. Janusza Kowala, który wyda nową książkę. Przepustki są prowadzone w formie papierowej, do wyczerpania bloczku a wydane i zwrócone są przekazywane co zmianę do p. Janusza Kowala. Obserwacja na monitorze bez możliwości zapisu, utrwalania czy powielania obrazu lub zapisu.

4.   Cel przetwarzania: świadczenie usługi rejestracji w zakresie wejścia i wyjścia na teren firmy na biurze przepustek. Nadzór nad terenem z użyciem monitoringu Administratora .  W budynku Akwarium pokój 107.

5.     Rodzaj i kategoria przetwarzanych danych: …………………………

W zakresie książki wejścia i wyjścia:

a.     Imię i Nazwisko;

b.     PESEL lub nr dokumentu tożsamości; !!!!Uwaga: sprawdź czy przepisy pozwalają gromadzić te dane, ponieważ brak podstawy nie pozwala spisywać numer PESEL. To częsty błąd !!!!!!

W zakresie przepustki jednorazowej:

a.     Imię i Nazwisko;

 

W zakresie monitoringu:

a.     wizerunek;

6.     Kategorie osób, których dane dotyczą:

W zakresie książki wejścia i wyjścia:

a.     Goście;

b.     Kandydaci do pracy;

c.      Wnioskodawcy.

W zakresie przepustki jednorazowej:

a.     Goście;

b.     Kandydaci do pracy;

c.      Wnioskodawcy.

W zakresie monitoringu:

a.     Kandydaci do pracy.

b.     Pracownicy.

c.      Potencjalni klienci.

d.     Klienci.

e.      Potencjalni kontrahenci.

f.       Kontrahenci.

g.     Osoby trzecie znajdujące się na terenie monitorowanym.;

Zawsze podawaj dane kontaktowe osób odpowiedzialnych za realizację umowy głównej, ponieważ tam też trafi informacja o naruszeniu. Jak podadzą mail "sekretariatu" to cała firma będzie szukać o kogo chodzi i po wielu godzinach lub dniach trafią do nich a ty masz 
tylko 72 godziny na reakcję. 

Postanowienia końcowe

1.     Strony wyznaczają następujące osoby do kontaktu w sprawie powierzonych danych osobowych:

Po stronie Administratora:

W zakresie usługi rejestracji:

Janusz Kowal emalii: jkowal@firma.com.pl , tel (32) 432 …………..

W zakresie monitoringu:

Alojzy Oko emalii: aoko@firma.com.pl , tel (32) 432 …………..

 

Po stronie Wykonawcy: ………………………………………..

Pracodawca realizujący usługę „tajemniczego klienta” dla innych firm

 

Status w RODO – punkt wyjścia

W modelowym scenariuszu:

• firma, na rzecz której realizujesz usługę, jest administratorem danych,
• Ty – jako wykonawca – jesteś podmiotem przetwarzającym (art. 4 pkt 8 RODO),
• Twoi pracownicy (tajemniczy klienci) przetwarzają dane w Twoim imieniu.

Jeżeli jednak samodzielnie decydujesz o celach, zakresie danych lub późniejszym wykorzystaniu nagrań – możesz stać się współadministratorem, co znacząco zwiększa zakres obowiązków i ryzyk.

---

1. Umowa powierzenia przetwarzania danych (art. 28 RODO)

Przed rozpoczęciem realizacji usługi musisz posiadać z klientem umowę powierzenia przetwarzania danych, która wprost obejmuje:

• przetwarzanie danych:
• głosowych (dyktafon),
• wizerunkowych i głosowych (kamera),
• opisowych (protokół PDF),
• sposób przekazywania danych (np. e-mail) + hasło,
• czas przetwarzania i zasady usuwania danych,
• obowiązki w zakresie bezpieczeństwa,
• zakaz wykorzystywania danych do własnych celów.

Bez tej umowy nie wolno przetwarzać danych osobowych.

---

2. Legalność stosowania dyktafonu i kamery

Nagrania audio i wideo

Nagrania wykonywane w ramach mystery shoppingu:

• zawsze stanowią dane osobowe, jeżeli możliwa jest identyfikacja osoby,
• często są danymi wrażliwymi kontekstowo (głos, wizerunek, zachowanie).

Twoje obowiązki jako podmiotu przetwarzającego:

• nagrywasz wyłącznie w zakresie wskazanym przez administratora,
• nie decydujesz samodzielnie:
• czy nagrywać,
• jak długo przechowywać,
• komu udostępniać nagrania.

📌 Ważne: decyzja o dopuszczalności nagrań (np. test równowagi (balansu), obowiązek informacyjny wobec pracowników) leży po stronie administratora, ale Ty musisz działać ściśle w tych ramach.

---

3. Bezpieczeństwo narzędzi pracy (art. 32 RODO)

Masz obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, w szczególności:

Dyktafon i kamera

• zabezpieczenie urządzeń hasłem / PIN-em,
• brak prywatnego wykorzystywania sprzętu,
• niezwłoczne przenoszenie nagrań do bezpiecznego systemu,
• usuwanie danych z urządzeń po zakończeniu realizacji.

Protokół w PDF

• ograniczony dostęp tylko dla osób upoważnionych,
• zabezpieczenie plików hasłem (jeśli zawierają dane identyfikujące),
• brak lokalnego przechowywania „na zapas”.

Wysyłka e-mail

• wysyłka wyłącznie na wskazane adresy administratora,
• szyfrowanie załączników lub bezpieczne platformy wymiany plików,
• weryfikacja adresata przed wysyłką (minimalizacja ryzyka błędu).

---

4. Pracownicy jako osoby upoważnione

Jako pracodawca musisz zapewnić, że:

• każdy „tajemniczy klient” posiada upoważnienie do przetwarzania danych osobowych,
• pracownicy są przeszkoleni z RODO w kontekście nagrań i poufności,
• obowiązuje ich tajemnica służbowa także po zakończeniu współpracy.

Nie jest wystarczające ogólne szkolenie BHP lub regulamin pracy.

---

5. Zakaz wykorzystywania danych do własnych celów

Nie możesz:

• archiwizować nagrań „do celów dowodowych” bez polecenia administratora,
• używać nagrań w materiałach marketingowych lub szkoleniowych,
• wykorzystywać przypadków jako „case studies” z danymi identyfikującymi.

Każde takie działanie oznacza naruszenie RODO i wyjście poza rolę podmiotu przetwarzającego.

---

6. Wsparcie administratora i naruszenia danych

Masz obowiązek:

• pomagać administratorowi w realizacji praw osób, których dane dotyczą,
• niezwłocznie zgłaszać naruszenia ochrony danych, np.:
• zgubiony dyktafon,
• wysłanie protokołu na błędny adres,
• kradzież sprzętu.

Nie oceniasz samodzielnie „czy to poważne” – informujesz administratora.

---

7. Usunięcie lub zwrot danych po zakończeniu usługi

Po zakończeniu realizacji:

• usuwasz nagrania i protokoły,
• albo przekazujesz je administratorowi,
• dokumentujesz wykonanie tego obowiązku (na potrzeby rozliczalności).

---

Podsumowanie (w jednym zdaniu)

Jako pracodawca realizujący usługę „tajemniczego klienta” działasz na cudzym ryzyku prawnym, dlatego musisz ściśle trzymać się poleceń administratora, zapewnić wysoki poziom bezpieczeństwa nagrań i dokumentów oraz pełną kontrolę nad personelem i narzędziami.

Cechy szczególne administratora danych osobowych

 

Co rozumieć przez „cechy szczególne administratora danych osobowych”, dlaczego mają znaczenie dla oceny ryzyka i jak je uwzględnić w DPIA/analizie ryzyka krok po kroku.

Co to znaczy — „cechy szczególne administratora”?

To wszystkie właściwości i okoliczności związane z samym administratorem (firmą/organizacją), które wpływają na:

• prawdopodobieństwo wystąpienia incydentu (np. podatność na ataki, błędy operacyjne),
• skalę i rodzaj negatywnych skutków dla osób, których dane dotyczą (np. z uwagi na dostępność danych, zakres uprawnień, reputację administratora).

Innymi słowy: nie tylko „jakie” dane przetwarzamy, ale też kto je przetwarza i w jakim kontekście — to kształtuje profil ryzyka.

Główne kategorie cech szczególnych (szczegółowo)

1. Rozmiar i struktura organizacji

• Mała firma z ograniczonym IT i zasobami bezpieczeństwa → większe ryzyko błędów i opóźnionych reakcji.
• Duży podmiot z rozbudowanymi systemami → większy powierzchni ataku, rozproszona odpowiedzialność, ale zwykle lepsze procedury.

2. Branża / sektor działalności

• Sektory regulowane (opieka zdrowotna, finanse, ubezpieczenia, administracja publiczna) → większe wymagania prawne, większe konsekwencje regulacyjne i reputacyjne.
• Branże atrakcyjne dla przestępców (np. fintech) → większe ryzyko wywiadu/ataków.

3. Zakres i krytyczność przetwarzania

• Administrator przechowuje/zarządza danymi krytycznymi (dane zdrowotne, dane finansowe, dane dzieci) albo pełni centralną rolę (np. systemy płatności) → wyższe skutki naruszeń.

4. Pozycja i uprawnienia administratora wobec osób (asymetria władzy)

• Pracodawca wobec pracownika, szkoła wobec ucznia, podmiot medyczny wobec pacjenta → większa zależność i potencjalna możliwość nadużyć, mniejsze realne możliwości sprzeciwu po stronie osoby.

5. Model przetwarzania i łańcuch dostaw

• Powszechne korzystanie z procesorów (chmura, outsourcing) i rozproszony łańcuch dostaw → zwiększona złożoność, trudniejszy nadzór, większe ryzyko „słabego ogniwa”.

6. Poziom dojrzałości bezpieczeństwa informacji

• Polityki, procedury, szkolenia, SIEM, testy penetracyjne, zarządzanie podatnościami — ich brak zwiększa prawdopodobieństwo incydentów.

7. Historia incydentów i naruszeń

• Dotychczasowe wycieki, słaba reakcja kryzysowa, kary/regulacyjne sankcje → wyższe ryzyko ponownych problemów i większe konsekwencje reputacyjne.

8. Zasoby ludzkie i rotacja personelu

• Wysoka rotacja, outsourcing kluczowych funkcji, niewystarczające szkolenia → zwiększona podatność na błędy i nadużycia (np. insider threat → to zagrożenie, które powstaje w wyniku działań osób mających autoryzowany dostęp do systemów i zasobów organizacji, takich jak pracownicy, kontrahenci czy byli pracownicy).

9. Lokalizacja prawna i jurysdykcja

• Różne wymagania prawne (międzynarodowe transfery, lokalne regulacje) → większe ryzyko niezgodności i sankcji.

10. Reputacja i widoczność publiczna

• Duży podmiot publiczny lub brand o dużej rozpoznawalności → większe konsekwencje wizerunkowe po naruszeniu.

11. Model finansowy i dostępność środków

• Ograniczone budżety na bezpieczeństwo → mniejsze możliwości technicznych i organizacyjnych środków minimalizacji ryzyka.

Dlaczego te cechy wpływają na ocenę ryzyka

• Kontekst: ta sama ilość danych i ten sam typ incydentu może mieć odmienne skutki, gdy za przetwarzaniem stoi szpital vs. mały sklep.
• Skala wpływu: duży administrator może spowodować większą liczbę poszkodowanych lub poważniejsze skutki (np. systemy krytyczne).
• Możliwość zapobiegania i reagowania: dojrzały administrator szybciej zidentyfikuje i załagodzi incydent, redukując skutki.

Jak uwzględnić te cechy w praktycznej analizie ryzyka (krok po kroku)

1. Identyfikacja cech administratora
   Sporządź listę cech z powyższych kategorii: rozmiar, sektor, model przetwarzania, dostawcy, historia incydentów, budżet, poziom dojrzałości SI, itp.
2. Ocena wpływu na prawdopodobieństwo i ciężar skutków
   Dla każdej cechy określ, czy podnosi/obniża prawdopodobieństwo incydentu i/lub zwiększa zmienność skutków (np. wysoka widoczność → większe skutki reputacyjne).
3. Macierz ryzyka (przykład uproszczony)
• Prawdopodobieństwo: Rzadkie i mało prawdopodobne/ Średnio prawdopodobne/ Prawdopodobne/ Wysoce prawdopodobne/ Prawie pewne
• Skutki: Żaden/ Znikome/ Niskie / Średnie / Wysokie/ Bardzo Wysokie
  Oceń kombinację i policz ryzyko (np. Prawdopodobne × Wysokie = Wysokie).
4. Mapowanie cech na kontrolki/mitigacje
   Dla każdej cechy przypisz adekwatne środki (organizacyjne, techniczne, umowne). Przykłady poniżej.
5. Ocena ryzyka residualnego
   Po zastosowaniu środków oceniasz, czy ryzyko jest akceptowalne; jeśli nie — dodajesz dodatkowe kontrole lub rezygnujesz z przetwarzania.
6. Dokumentacja w DPIA / rejestrze ryzyka
   Zapisz: jaka cecha, jaki wpływ, zastosowane środki, odpowiedzialny, termin przeglądu.

Przykładowe środki dopasowane do cech administratora

• Mała organizacja / brak SI → wdrożenie podstawowych polityk bezpieczeństwa, szybkich szkoleń, reguł dostępu, backupu, prostych procedur reakcji na incydent.
• Sektor regulowany → dodatkowe audyty, rejestry przetwarzania, dedykowane procedury zgłaszania naruszeń do organu nadzorczego.
• Złożony łańcuch dostaw → audyty dostawców, klauzule umowne (DPA), ograniczenie transferów, monitoring SLA.
• Wysoka rotacja personelu → procedury offboarding, ograniczenia uprawnień, wdrażanie MFA, logowanie działań.
• Wysoka widoczność/reputacja → plan komunikacji kryzysowej, ubezpieczenie od cyberryzyka, testy odpornościowe.

Przydatna lista kontrolna (do wstawienia do DPIA)

• Czy administrator przetwarza dane w sektorze o zwiększonych wymaganiach? (TAK/NIE)
• Czy przetwarza dane szczególnych kategorii?
• Czy jest wysoka zależność między administratorem i osobą (np. pracownik → pracodawca)?
• Czy wiele procesorów/usług zewnętrznych uczestniczy w przetwarzaniu?
• Jak oceniasz dojrzałość SI (1–5)?
• Czy w ciągu ostatnich 3 lat miał miejsce incydent/naruszenie?
• Czy budżet na bezpieczeństwo jest wystarczający? (TAK/NIE/PIĘCIOSTOPNIOWA SKALA)
• Czy istnieje plan reakcji na incydent i testowany? (TAK/NIE)

Przykład zapisu w DPIA (skrót)

Cechy administratora: średniej wielkości firma e-commerce; wysoka rotacja w dziale obsługi; korzystanie z chmury publicznej i zewnętrznych dostawców płatności; wysoka ekspozycja marki.
Wpływ na ryzyko: zwiększone prawdopodobieństwo błędów ludzkich i ryzyko ataku skierowanego na systemy sprzedażowe; potencjalnie duże skutki reputacyjne.
Środki: polityki bezpieczeństwa, obowiązkowe szkolenia, MFA, regularne testy penetracyjne, umowy DPA z procesorami, plan komunikacji kryzysowej.
Ryzyko residualne: umiarkowane — do monitorowania; przegląd po 6 miesiącach.

Kilka praktycznych wskazówek końcowych

• Nie traktuj cech administratora jako „pasywnego” pola w DPIA — one aktywnie kształtują listę kontroli i poziom akceptowalnego ryzyka.
• Regularnie przeglądaj – cechy mogą się zmieniać (np. szybki wzrost, zmiana modelu przetwarzania, wejście w nowy rynek).
• Uwzględnij aspekt komunikacji: im większa widoczność i wpływ, tym bardziej szczegółowy powinien być plan komunikacji kryzysowej i śledzenia skutków dla osób, których dane dotyczą.

---

Pismo kandydata kiedy rekruter nie prześle mu notatek z rozmowy oraz informacji o przyczynach nie wybrania go w procesie rekrutacji

 

Wielu kandydatów pyta o notatki z rozmów i powody odrzucenia, a rekruterzy często odpowiadają, że to „informacje wewnętrzne” lub że „RODO nie daje prawa do poznania powodów decyzji”.

Zanim pokażę wzór pisma, krótkie wyjaśnienie, dlaczego rekruter może odmówić i jak kandydat może na to zareagować skutecznie i rzeczowo 👇

---

🔎 Kontekst prawny – co mówi RODO

• Art. 15 RODO daje kandydatowi prawo do dostępu do danych osobowych – a nie do wszystkich informacji „o nim” sensu largo (łac. w szerokim znaczeniu).
• Oznacza to, że kandydat może żądać kopii danych osobowych, np. notatek, jeśli zawierają dane o nim (oceny, opinie, spostrzeżenia).
• Rekruter może jednak usunąć lub zanonimizować fragmenty, które ujawniałyby dane innych osób albo elementy poufne procesu (np. wewnętrzne kryteria oceny, strategie rozmowy).

👉 Przyczyny niezakwalifikowania – to nie zawsze dane osobowe, ale jeśli np. w notatkach jest zapis: „brak doświadczenia w zarządzaniu zespołem” lub „słaba znajomość angielskiego” — to są dane osobowe, bo odnoszą się do osoby.
W takim przypadku kandydat może domagać się ich udostępnienia.

---

🧾 WZÓR PISMA – żądanie uzupełnienia odpowiedzi z art. 15 RODO

Miejscowość, data

[Imię i nazwisko kandydata]
[adres e-mail / adres korespondencyjny]

Do:

[nazwa firmy / administratora danych]

[adres / e-mail]

Wniosek o uzupełnienie informacji udzielonych w odpowiedzi na żądanie z art. 15 RODO

Szanowni Państwo,

dziękuję za udzielenie odpowiedzi na mój wniosek z dnia [data pierwszego wniosku] dotyczący dostępu do moich danych osobowych na podstawie art. 15 RODO.

Po zapoznaniu się z przesłaną informacją zauważyłem(am), że nie otrzymałem(am) kopii notatek z rozmowy rekrutacyjnej ani informacji dotyczących powodów niezakwalifikowania mnie do dalszego etapu rekrutacji.

Zgodnie z art. 15 ust. 1 i 3 RODO, prawo dostępu obejmuje nie tylko dane przekazane bezpośrednio przeze mnie, lecz również wszystkie dane osobowe, które Państwo wytworzyli lub utrwalili w toku przetwarzania — w tym oceny, opinie i inne informacje odnoszące się do mojej osoby.

W związku z tym uprzejmie proszę o:

1. przekazanie kopii notatek lub innych wewnętrznych dokumentów rekrutacyjnych zawierających dane osobowe na mój temat (np. oceny, komentarze, podsumowania rozmowy),
2. wskazanie — w sposób zrozumiały — głównych powodów decyzji o niezakwalifikowaniu mnie do dalszego etapu rekrutacji, o ile informacje te zostały utrwalone w dokumentacji procesu.

Jeżeli część informacji wymaga anonimizacji ze względu na prawa innych osób, proszę o ich udostępnienie w odpowiednio zanonimizowanej formie.

Z poważaniem,

[podpis – jeśli wysyłane w formie papierowej]

[imię i nazwisko]

---

💡 Dodatkowe uwagi praktyczne:

• Warto w piśmie nie używać tonu roszczeniowego, tylko powołać się spokojnie na art. 15 ust. 3 RODO i orzecznictwo (np. wyrok TSUE z 4.05.2023 r., C-487/21), które potwierdza, że notatki rekrutacyjne mogą być danymi osobowymi.
• Rekruter może odpowiedzieć np.:

„Nie przekazujemy notatek, ponieważ zawierają dane innych osób lub informacje objęte tajemnicą przedsiębiorstwa.”
Wtedy kandydat nie musi ponownie poprosić o wersję zanonimizowaną ponieważ już to zrobił w piśmie a rekruter ma obowiązek znać przepisy lepiej od ciebie. Dalsze bawienie się w pisma już nic nie zmieni i można całość zgłosić do UODO zgodnie z ich procedurą link: https://uodo.gov.pl/pl/526/2464

---